柯P真的有害學童個資外洩嗎?-從我國《個資法》談起
作者:林家如律師
日前一篇題為「貪谷歌免費帳號惹禍 柯文哲害 35 萬學童個資外洩」的報導,指稱臺北市政府今年 6 月起和 Google 合作,使用 Google Apps for Education(GAFE)(現已更名為:G Suite for Education,下簡稱「G Suite」)雲端服務作為線上教育用途,但卻在未經家長同意的情況下,將學童的個人資料提供給 Google 做為商業用途使用,且縱使家長事後知情,也無法刪除先前被上傳的學童個人資料云云。
此篇報導一出,立刻引來各方的討論與非議,綜合相關媒體報導、臺北市政府及Google對此事的聲明,至少可以得知以下資訊:
Photo Courtesy Bernard Goldbach CC BY 2.0
- G Suite 是 Google 特別為學校教育單位推出的免費雲端服務平台,學校師生可以利用 Google 提供的電子郵件、雲端硬碟、日曆、文件、試算表等服務,以及 G Suite 獨有的「Classroom」功能,進行教學上的互動與分享。
- 臺北市政府向學生蒐集,據以建立 G Suite 帳戶的資料為學生的「姓名、帳號、密碼」。
- 根據 G Suite 管理員說明頁面,「Google 與合作的教育單位簽合約時,會要求使用 G Suite for Education 的學校按照《兒童線上隱私權保護法》的規定,先徵求學生家長同意,才能使用我們的服務,而且使用時必須遵循兒童線上隱私權保護法的相關規定」。此外,Google 也對帳戶申請年齡設下限制,必須年滿 13 歲才能申請帳戶。
- Google 也特別對此事發出聲明,表示「G Suite for Education 提供的服務並不含廣告內容,而且不會蒐集或使用學生的資料作為商業用途。在這個平台中,使用者才是資料的擁有者,而非 Google」。因此,G Suite 的使用者在登入其 G Suite 帳戶,使用 Google 服務時,並不會被投放任何廣告。
我們可以基於以上資訊,從法律的角度思考以下三個問題:
- 哪些個人資料受到我國「個人資料保護法」(下稱「個資法」)的保護?《個資法》怎麼保護個人資料?
首先,簡要介紹相關立法歷程,我國對於個人資料的法律明文保護,源於民國(下同)84 年 8 月 11 日公布的「電腦處理個人資料保護法」,由於該法保護客體僅及於「經電腦處理的個人資料」,且只有特定行業、事業受規範。因此,為了擴大保護的範圍,乃於 99 年 5 月 26 日大幅翻修,公布《個資法》,並自 101 年 10 月 1 日起施行。
104 年 12 月 30 日修法,主要針對病歷、性生活及犯罪前科等特種個資,增訂經當事人書面同意,可以蒐集、處理或利用,以及公務機關執行法定職務或非公務機關履行法定義務,在必要範圍內,得蒐集、處理或利用特種個資等規定。另對於一般個資的蒐集、處理及利用的表示同意方式,為與時俱進,改為不以書面為限,並新增若經明確告知而未明示反對,即推定同意之規定。至於違反個資法的刑事責任,則修正限於「意圖為自己或第三人不法之利益或損害他人之利益」才構成。該次修法於今(105)年 3 月 15 日起施行。
《個資法》立法目的主要在規範個人資料的「蒐集」、「處理」及「利用」,避免個人人格權被侵害,並促進個人資料的合理利用。因此,《個資法》並非一味地限制個人資料的「蒐集」、「處理」及「利用」,而是著重規範怎麼樣的行為才算是合理「蒐集」、「處理」及「利用」個人資訊,要言之,除非法律另有規定,否則原則上在蒐集、處理或利用個人資料時,均須明確充分告知當事人各項法定應告知事項,並取得其同意。
依現行《個資法》規定,「自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料」均屬《個資法》保護之個人資料。因此,本事件中,學生的「姓名」自受《個資法》保護,至於其「帳號、密碼」,如能直接或間接地識別個人身份,也會落入《個資法》保護的範疇。 - 臺北市政府應該怎麼做才合法?
此次引發軒然大波的關鍵,在於臺北市政府教育局轄下各級學校在「蒐集」、「處理」、「利用」學生個人資料的過程中,似未充分告知學生的法定代理人。蓋,我國民法規定,7 歲以上未滿 20 歲之人,為限制行為能力人,其為意思表示,應得法定代理人之允許,未得法定代理人允許所為之單獨行為(例如:《個資法》所謂之「同意」),無效。準此,姑不論 Google 將申請帳戶之年齡限制設為 13 歲,臺北市政府教育局在要求轄下各公私立國中小學及高中職等學校,配合教育政策,「蒐集」、「處理」、「利用」學生個人資料時,即應注意屬於公務機關的公立學校,及屬於非公務機關的私立學校,是否已依《個資法》規定事先向學生之法定代理人為充分告知,並取得其允許,方屬合法。
- Google 在這起事件中需要負法律責任嗎?
至於有謂 Google 雖然在 G Suite 中關閉廣告功能,但未來在Google與臺北市政府的合作合約結束後,Google 可能會開始對這些學生用戶們投放廣告,並質疑 Google 應否負責云云。然而,Google 在此事件中的法律責任,仍然必須回歸其與臺北市政府的合約內容來判斷,至於對學生個人資料的保護,倘若 Google 如其聲明,確實未蒐集或使用學生的資料作為商業用途,那麼要說 Google 須負起侵害學生人格權的法律責任,恐怕有困難。
再者,針對 Google 未來對這些學生用戶投放廣告卻可能不用負法律責任的質疑,則須一一釐清以下問題,方能有更進一步的討論:Google 放置此類投放廣告,如果僅需無法識別個人身分之網路使用紀錄等資料,是否仍屬於個人資料保護的範圍?縱使認為此類網路使用紀錄仍是《個資法》保護客體,亦應探究 Google 是否已明確告知 G Suite 使用者,將蒐集、處理、利用其網路使用紀錄,取得其同意?Google 是否有於合理必要範圍內蒐集、處理、利用自這群學生用戶取得之個人資料?
此次事件雖因標題聳動、事實未盡精確之報導而起,但也提醒近年來開始與網路科技接軌的教育單位及政府部門,不可忽視隨之而來的個人資料處理與保護問題。以本事件來說,不同主體間的關係與互動,甚至是資訊揭露的程度,都是必須審慎加以考慮的問題。例如:各級學校在蒐集學生個人資料時,告知學生法定代理人之事項是否應包含臺北市政府與 Google 合作的計畫?如果應告知,那麼要揭露多少合作計畫的內容,才算是取得當事人有效的同意?學生的法定代理人可不可以拒絕讓學生加入此等合作計畫?學生的法定代理人能否要求臺北市政府揭露跟 Google 訂約的細部內容?臺北市政府在與 Google 訂約時,是否完全清楚 Google 將如何蒐集、處理及利用學生在 G Suite 帳戶內的活動紀錄?凡此,都是未來類似合作計畫必須留意的資安治理問題。
延伸閱讀:
發表評論
Want to join the discussion?Feel free to contribute!